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INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/DE99/01 91 5 



I. Grundlage des Berichts 

1 . Dieser Bericht wurde ersteltt auf der Grundlage (Ersatzblatter, die dem Anmeldeamt auf eine Aufforderung nach 
Artiket 14 hin vorgelegt warden, gelten im Rahmen dieses Berichts als "ursprunglich eingereicht" and sind ihm 
nicht beige fugt, weil sie keine Anderungen enthalten,): 

Beschreibung, Seiten: 

1-12 ursprungliche Fassung 

Patentanspruche, Nr.: 

1-8 ursprungliche Fassung 

Zeichnungen, Blatter: 

1/11-11/11 ursprungliche Fassung 



2. Aufgrund der Anderungen sind tolgende Unterlagen fortgef alien: 

□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

3. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen ersteltt worden, da diese aus den 

angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)): 



4. Etwaige zusatzliche Bemerkungen: 



V. Begrundete Feststellung nach Art ike I 35(2) hinsichtlich der Neuheit, der erf inderischen Tatigkert und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stiitzung dieser Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspruche 1 -8 

Netn: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1-8 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1 -8 

Nein: Anspruche 
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2. Unterlagen und Erklarungen 
siehe Beiblatt 

VII. Bestimmte Mangel der international en Anmeldung 

Es wurde festgestellt, daB die internationale Anmeldung nach Form oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 

VIII. Bestimmte Bemerkungen zur internationalen Anmeldung 

Zur Klarheit der Patentanspruche, der Beschreibung und der Zeichnungen oder zu der Frage, ob die Anspnlche 
in vollem Umfang durch die Beschreibung gestutzt werden, ist folgendes zu bemerken: 

siehe Beiblatt 
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Punkt V : 

In diesem Bericht werden folgende Druckschriften (D) genannt: 

D1: DESPANG H G ET AL: 'RECHNERGESTUETZTER ENTWURF VON 

AUTOMATISIERUNGSANLAGEN UNTER NUTZUNG VON PETRI-NETZEN 
AM BEISPIEL EINER P AK ETV E RT E I LAN LAG E . \CAD OF CONTROL 
SYSTEMS USING PETRI NETS FOR THE EXAMPLE OF A PARCEL 
DISTRIBUTOR IN A POST OFFICE' AUTOMATISIERUNGSTECHNIK - 
AT.DE.OLDENBOURG VERLAG. MUNCHEN, Bd. 41, Nr. 8, Seite 307-316 
XP000393035 ISSN: 0178-2312 

D2: US-A-5 212 881 (NISHITSUKA TAKASHI ET AL) 25. Mai 1993 (1993-05-25) 

D3: JORG SCHNEIDER: 'FEHLERREAKTION MIT 

SPEICHERPROGRAMMIERBAREN STEUERUNGEN-EIN BEITRAG ZUR 
FEHLERTOLERANZ* 1994 , SPRINGER-VERLAG XP002126582 99 

D4: FLECKENSTEIN J.: 'ZUSTANDSGRAPHEN FUR SPS- 

GRAPHIKUNTERSTUTZENDE PROGRAMMIERUNG UND 
STEUERUNGSABHANGIGE DARSTELLUNG' 1997 , SPRINGER-VERLAG 
XP002126583 63 

D5: FRIEDRICH A: 'NETZ DER NETZE WIE SPS-ORIENTIERTE PETRINETZE 
DIETRANSPARENZ VON PROZESSEN ERHOEHEN KOENNEN' 
ELEKTROTECHNIK.DE, VOGEL VERLAG K.G. WURZBURG, Bd. 76, Nr. 4, 
Seite 44-47 XP000447796 ISSN: 1431-9578 

D6: DE-A-196 39 424 (Siemens) 



D6 wurde nicht im Recherchenbericht genannt. 



Anspruch 1 : 

1 Im Anspruch 1 wird von einem Verfahren zum Entwurf einer Steuerung fur einen 
GesamtprozeB, der mehrere Einzelprozesse umfaBt, ausgegangen. 

Dokumente D1, D5 und D6 zeigen jeweils derartige Verfahren. 
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GemaB Merkmal b) des Anspruchs 1 wird eine Validierung durchgefuhrt, indem 
ein Zusammenspiel der Funktionalitaten gemaB einer Vorgabe fur den 
Gesamtprozess automatisch dahingehend verifiziert wird, dal3 jeder EinzelprozeB 
wahrend seines Ablauts nicht behindert wird. 

Nun zeigt aber keines der genannten Dokumente einen Hinweis, der den 
Fachmann dazu brachte, tatsachlich die Behinderungsfreiheit der Einzelprozesse 
umzusetzen. Dies ist von besonderer Bedeutung gerade im Hinblick auf den 
effizienten Ablaut des Gesamtprozesses, bspw. der Steuerung eines 
Bestuckungsautomaten (siehe Erfindung, Fig.1 und zugehorige Beschreibung 
Seiten 5-6): Behindern sich zwei Prozesse, z.B. zwei Test-Prozesse, indem sie 
beide auf das Drehen des Revolverkopfes des Bestuckungsautomaten zugreifen, 
so kommt es zu einer Blockierung, die zu einem Abbruch des Gesamtprozesses 
fuhren kann. Die Berucksichtigung solch einer Blockierung, also die Verifizierung 
des Gesamtprozesses dahingehend, dass keine Blockierung vorkommt, stellt 
einen ordnungsgemaBen und effizienten Betrieb des Gesamtprozesses und damit 
der Steuerung der Maschine (im Fall des Bestuckungsautomaten) sicher. 

D1 behandelt einen rechnergestutzten Entwurf von Automatisierungsanlagen 
unter Nutzung von Petri-Netzen. Beispielhaft wird eine Paketverteilungsanlage 
besprochen. Dabei wird nirgends die Behinderung von Prozessen oder gar die 
Blockierungsfreiheit des Gesamtprozesses angesprochen. 
In D5 geht es urn SPS-orientierte Petrinetze zur Erhohung der Transparenz von 
Prozessen. Dabei wird auf die Moglichkeiten und den sich daraus ergebenden 
Nutzen einer ubersichtiichen Petrinetz-Darstellung eingegangen. Die Tatsache, 
dass auf Seite 44, rechte Spalte die schrittweise Verkettung von 
Programmbausteinen angesprochen wird, liefert dem Fachmann noch keinen 
Hinweis auf die Berucksichtigung einer moglichen Blockierung von 
Einzelprozessen. 

D6 beschreibt ein Entwurfsverfahren fur die Anlagentechnik und ein 
rechnergestutztes Projektierungssystem zur Verwendung bei diesem Verfahren. 
Dazu werden insbesondere formale Analyse und simulative Validierung 
eingesetzt. Die Simulation erfolgt anhand graphischer Unterstutzung. Aus der 
validierten Spezifikation wird automatisch Code fur Automatisierungssysteme 
erzeugt. Auch hier reicht die Tatsache der formalen Analyse mit anschlieBender 
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Simulation nicht aus, den Fachmann zum Gegenstand der Erfindung zu fuhren. 

Somit legt keines der genannten Dokumente, fur sich oder in Kombination mit 
einem anderen Dokument, den Gegenstand unserer Erfindung nahe. 

Der Gegenstand des Anspruchs 1 ist daher neu und aus einer erfinderischen 
Tatigkeit hervorgegangen (Artikel 33(1), (2) und (3) PCT). 

Anspruch 8 : 

Die zum Anspruch 1 gemachten Bemerkungen gelten ebenso fur den 
entsprechenden unabhangigen Vorrichtungsanspruch 8. 

Unteranspruche 2-7 : 

Diese Anspruche sind abhangig vom Anspruch 1. 



Punkt VII : 

Es wird als zweckmaGig angesehen, den Vorrichtungsanspruch in zweiteiliger 
Form abzufassen (Regel 6.3 b PCT). Bei der Bildung des Oberbegriffes sollte vom 
Stand der Technik von D1 Oder D6 ausgegangen werden. 

Die Beschreibungseinleitung bedarf noch der Anpassung an das neue 
Patentbegehren. 

Hierzu wird darauf hingewiesen, daf3 es auch notig ist, die Angabe der Erfindung 
ab Zeile 10 auf Seite 2 in strikte Ubereinstimmung mit dem Inhalt der neuen 
Anspruche zu bringen. 

In der Beschreibungseinleitung ware auch der relevante aufgezeigte Stand der 
Technik (D1, D5 und D6) noch zu wurdigen. 
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VIII 

Der Schutzbereich des Anspruchs 1 ist unklar, da die dort angegebenen 
Merkmale nicht immer geeignet erscheinen, die gewunschte Einschrankung 
herzustellen. 

So ist unter Schritt a) nicht klar, welche einschrankende Wirkung der Begriff 
" Funktionalitaten der Einzelprozesse" haben soli. Erstens ist nicht klar, was hier 
konkret unter Funktionalitaten zu verstehen sein soil und zweitens macht der 
Anspruch nicht zweifelsfrei klar, daG jeder ProzeB eine im Gesamtbetrieb 
mehrerer Prozesse oder sogar des gesamten technischen Systems eine 
(Teil-)Funktionalitat ubernimmt. 

Unter Schritt b) macht der Satzteil "bei dem eine Validierung durchgefuhrt wird" 
lediglich die Aussage, daB bei dem beanspruchten Verfahren eine Validierung 
durchgefuhrt wird. Im Anspruch wird dann zwar gesagt, wie die Validierung 
durchgefuhrt wird, was aber konkret validiert wird, wie zum Beispiel die Steuerung 
des Gesamtprozesses, geht aus dem Anspruch nicht zweifelsfrei hervor. 
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1. This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of 



B sheets, including this cover sheet. 



I I This report is also accompanied by ANNEXES, i.e.. sheets of the description, claims and/or drawings which have 
' — ' been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of 



sheets. 



3. This report contains indications relating to the following items: 



1 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


El 


VIII 


1*1 



Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



Date of submission of the demand 

31 January 2000(31.01.00) 


Date of completion of this report 

13 July 2000(13.07.2000) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



Kemational application No. 

PCT/DE99/01915 



I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 



| | the international application as originally filed. 

the description, pages 1-12 

pages 

pages • 

pages 



as originally filed, 
_ ■ filed with the demand, 
filed with the letter of 
filed with the letter of 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-8 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



the drawings, 



sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/11-11/11 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

□ 

the description, pages 

the claims. Nos. 



□ 

the drawings, sheets/fig 



3 | | This report has been established as if (some of) the amendments had not been made, since they have been considered 
— to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 
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PC 1 



Rational application No. 
CT/DE 99/01915 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-8 



1-8 



1-J 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

This report makes reference to the following 
documents ( D) : 



Dl: DESPANG H G ET AL: ^RECHNERGESTUETZTER ENTWURF 
VON AUTOMAT I S I ERUNGSANLAGEN UNTER NUTZUNG VON 
PETRI -NET ZEN AM BEISPIEL EINER 

PAKETVERTEILANLAGE. \CAD OF CONTROL SYSTEMS 
USING PETRI NETS FOR THE EXAMPLE OF A PARCEL 
DISTRIBUTOR IN A POST OFFICE' 

AUTOMATISIERUNGSTECHNIK - AT , DE , OLDENBOURG 

VERLAG, MUNCHEN, Vol. 41, No. 8, pages 307-316 

XP000393035 ISSN: 0178-2312 
D2: US-A-5 212 881 (NISHITSUKA TAKASHI ET AL) 25 May 

1993 (1993-05-25) 
D3: JORG SCHNEIDER: * FEHLERREAKTION MIT 

SPEICHERPROGRAMMIERBAREN STEUERUNGEN-EIN BEITRAG 

ZUR FEHLERTOLERANZ ' 1994, SPRINGER- VERLAG 

XP002126582 99 
D4: FLECKEN STEIN J.: * ZUSTANDSGRAPHEN FUR SPS- 

GRAPHIKUNTERSTUTZENDE PROGRAMMI ERUNG UND 

STEUERUNGSABHANGIGE DARSTELLUNG' 1997, SPRINGER- 

VERLAG XP002126583 63 
D5: FRIEDRICH A: * NETZ DER NETZE WIE S PS-ORIENTIERTE 

PETRINETZE DIE TRANS PARENZ VON PROZESSEN 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



Jflfcrn: 



iational application No. 
/DE 99/01915 



ERHOEHEN KOENNEN' ELEKTROTECHNIK, DE, VOGEL 
VERLAG K.G. WURZBERG, Vol . 76, No. 4 , pages 44- 
47 XP000447796 ISSN: 1431-9578 



D5: DE-A-196 39 424 (Siemens). 



D6 was not listed in the search report. 
Claim 1: 



1 Claim 1 proceeds from a method for designing a unit 

for controlling an entire process comprising a 
plurality of individual processes. 



Documents Dl, D5 and D6 each show such a method. 



According to feature b) of Claim 1, validation is 
carried out by automatically verifying the 
interaction between functionalities as per a 
requirement for the entire process such that each 
individual process is carried out unhindered. 



None of the aforementioned documents, however, 
contains any indication that would prompt a person 
skilled in the art to actually reverse the freedom 
from impediment of the individual processes. This 
is of particular significance to the efficient 
running of the entire process, for example for 
controlling a pick-and-place machine (see the 
invention, Figure 1 and corresponding description, 
pages 5-6) : if two processes, for example two test 
processes, are hampered as a result of their 
involving the rotation of the tool turret of the 
pick-and-place machine, a blockage occurs which can 
lead the entire process being interrupted. Taking 



Form PCT/IPEA/409 (Box V) (January 1994) 




THIS PAGE BLANK (usno) 



L- [national application No. 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT W£ T /D£ 99/01915 



such a blockage into consideration, that is 
verifying the entire .process, to check that no 
blockages occur, ensures that the entire process 
operates properly and efficiently and thus that the 
machine is controlled (in the case of a pick-and- 
place machine) . 



Dl concerns the computer-aided design of control 
systems using Petri nets. A parcel distributor is 
provided as an example. Dl does not mention the 
hindering of processes or even the freedom from 
blockages of the entire process. 



D5 concerns SPS-oriented Petri nets for increasing 
process transparency. The possibilities and 
benefits of a clear representation of the Petri net 
are discussed. The fact that the right-hand column 
on page 44 refers to the gradual interlinking of 
programme modules does not prompt a person skilled 
in the art to consider possible blockages of the 
individual processes. 



D6 describes a design method for industrial and 
building systems and a computer-aided project 
planning system for use in said method. In 
particular, formal analysis and simulative 
validation are used. Simulation is carried out 
using graphic support. An automatic code for 
automation systems is generated from the validated 
specification. Here also, the formal analysis with 
subsequent simulation is not sufficient to lead a 
person skilled in the art to the subject matter of 
the invention. 



Consequently, none of the citations, either 
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national application No. 
PCT/DE 99/01915 



individually or in combination with another 
document, suggests the subject matter of the present 
invention . 



The subject matter of Claim 1 is therefore novel and 
involves an inventive step (PCT Article 33(1), (2) 
and (3) ) . 



Claim 8 : 

The observations concerning Claim 1 also apply to 
the corresponding independent device claim, Claim 

Dependent Claims 2-7: 

These claims are dependent on Claim 1. 
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VII. Certain defects in the international application 



The following defects in the form or contents of the international application have been noted: 



It is considered appropriate to draft the device 
claim in the two-part form ( PCT Rule 6.3(b)). The 
preamble should proceed from the prior art as per 
Dl or D6. 



The introductory part of the description still 
needs to be brought into line with the new set of 
claims . 

It should also be noted that it is necessary to 
bring the statement of the invention starting on 
line 10 of page 2 strictly into line with the 
disclosure of the new claims. 



The introductory part of the description should 
also acknowledge the relevant prior art (Dl, D5 and 
D6) . 
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VIII. Certain observations on the international application 

The following observations on the clarity of the claims," description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

The scope of protection of Claim 1 is unclear, since 
the features specified therein do not always seem 
suitable for establishing the desired restriction. 

In step a) it is unclear what restrictive effect is 
intended by the expression " functionalities of the 

individual processes" . Firstly, it is not clear 
what should be specifically understood by 
"functionalities" and secondly, the claim does not 
make it unambiguously clear that each process takes 
over a (partial) functionality in the overall 
operation of a plurality of processes or even of the 
entire technical system. 

In step b) the clause "in which validation is 
carried out" states merely that validation is 
carried out in the claimed method. Although the 
claim specifies how validation is carried out, it 
does not show specifically what is validated, for 
example, how the entire process is controlled. 
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(57) Abstract 

The aim of the invention is to pre- 
vent blockages between competing individ- 
ual processes that are pan of an overall 
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(57) Zusammenfassung 

Um Blockierungen zwischen 
konkurrierenden Einzelprozessen 
innerhalb eines Gesamtprozesses zu 
verhindem, werden Funktionalitaten 
der Einzelprozesse identifiziert und eine 
Validierung des Zusammenspiels dieser 
Funktionalitaten durchgefUhrt. Die aus 
der Validierung erhaltenen Daten sind 
fur eine Steuerung des Gesamtprozesses 
einsetzbar. 
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Verfahren und Anordnung zum Entwurf einer Steuerung fur einen 
Gesamtprozefl 

5 

Die Erfindung betrifft ein Verfahren und eine Anordnung zum 
Entwurf einer Steuerung fur einen Gesamtprozefl , der mehrere 
Einzelprozesse umfaftt. 

10 Die Steuerung einer komplexen technischen Anlagen bzw. eines 
Systems (Gesamtprozefl) umfaflt mehrere kleinere 

Steuerungseinheiten, die fur bestimmte Teile (Einzelprozesse) 
der Anlage bzw. des Systems vorgesehen sind. Eine erste 
Steuerungseinheit fur einen ersten Einzelprozefl ist dabei auf 

15 diesen Einzelprozefl beschrankt. Gleiches gilt fur eine zweite 
Steuerung fur einen zweiten Einzelprozefl. Auch wenn ein 
Zusaromenspiel der ersten mit der zweiten Steuerung weitgehend 
fehlerfrei funktioniert , so ist nicht gewahrleistet , dafl bei 
geringfiigiger Modifikation des ersten oder des zweiten 

20 Einzelprozesses noch eine fehlerfreie Funktion der gesamten 
Anlage gewahrleistet ist. So kann eine kleine Anderung an 
einem Prozefl oder ein Hinzufugen eines dritten Prozesses zu 
nur empirisch nachweisbaren Konflikten und Blockierungen 
zwischen den Prozessen fuhren. Dabei ist es moglich, dafl ein 

25 fehlerhafter Zustand des Gesamtprozesses einen empirischen 
Test uberwindet und somit unerkannt bleibt. Dies ist gerade 
im Hinblick auf eine sicherheitskritische Anlage nicht 
akzeptabel, da in jedem Fall gewahrleistet sein mufl, dafl kein 
unvorhergesehenes Ereignis im Zusammenspiel der Prozesse 

30 auftritt . 

Neben den zu vermeidenden unerlaubten Zustande gibt es beim 
Ablauf eines Prozesses sogenannte erlaubte Zustande, die - 
bei ordnungsgemafler Funktion - fur den Prozefl ausschliefllich 
35 auftreten sollen. 



10 
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Die Aufgabe der Erfindung besteht darin, ein Verfahren und 
eine Anordnung zum Entwurf einer Steuerung fur einen 
Gesamtprozefi anzugeben, wobei (formal) sicherges tellt wird, 
daB keine Behinderung der Einzelprozesse auftritt und nur 
erlaubte Zustande belegt werden. 

Diese Aufgabe wird gemaft den Merkmalen der unabhangigen 
Patentanspruche gelost. 



Im Rahmen der Erfindung wird ein Verfahren zum Entwurf einer 
Steuerung fur einen Gesamtprozefi , der mehrere Einzelprozesse 
umfafit, angegeben. Bei dem Verfahren werden Funktionalitaten 
der Einzelprozesse identif iziert . Weiterhin wird eine 
Validierung durchge f iihrt , indem ein Zusammenspiel der 
15 Funktionalitaten gemafl einer Vorgabe fur den Gesamtprozefi 
automatisch dahingehend verif iziert wird, daft jeder 
Einzelprozefi wahrend des Ablaufs nicht gestort wird. Aus dem 
Ergebnis der Validierung werden Daten fur die Steuerung des 
Gesamtprozesses ermittelt. 

20 

Ein Vorteil des Verfahrens besteht darin, dali in dem Schritt 
der Validierung sichergestell t wird, daft jeder Einzelprozeft 
ungestort ablaufen kann . Ein weiterer Vorteil besteht in der 
automatischen Generierung von Daten fur die Steuerung des 
25 Gesamtprozesses . Somit werden mit Hilfe des Verfahrens 

systematisch Daten fur die Steuerung des Gesamtprozesses 
erstellt . 

Eine Ausgestal tung besteht darin, daft nach der Validierung 
30 eine Ablauf optimierung durchgefuhrt wird. So ist es 

sicherlich ein Vorteil, dafi> Einzelprozesse storungsfrei 
ablaufen konnen, ein anderer Vorteil besteht darin, dafi die 
mehreren Einzelprozesse mbglichst zeitoptimiert ablaufen. 
Ziel der Ablauf optimierung ist es, die Durchfuhrung 
35 vorgegebener Aktionen der mehreren Einzelprozesse parallel 
und in moglichst kurzer Zeit ohne Storungen vorzunehmen. 
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• Eine Weiterbildung besteht -darin, daft die- Daten fur -die - 

Steuerung des Gesamtprozesses in Form eines abiauf f ahigen 
Codes bestimmt werden. Hiermit ist sicherges tellt , daft das 
Ergebnis der Vaiidierung und gegebenenf alls der 
5 Abiauf optimierung vollstandig automatisch in die Steuerung 
des Gesamtprozesses einflieftt. Es wird beispielsweise ein in 
der Programmiersprache C oder der Programmiersprache C+ + 
abgefaftter Programmcode generiert, der die Steuerung des 
Gesamtprozesses veranlaftt bzw. sichers tell t . 

10 

Insbesondere kommt der Vorteil bei der Generierung von 
abiauf fahigem Code zum Tragen, wenn auch Funktionalitaten der 
Einzelprozesse in Form jeweiliger Programmeinhei ten 
bereitgestellt werden. Entsprechen mehrere Funktionalitaten 
15 mehrerer Einzelprozesse jeweils mindestens einer 

Programmeinheit, so dienen die Daten zur Steuerung, die in 
Form abiauf f ahigen Codes generiert wurden, der Koordination 
der einzelnen Programmeinhei ten, bzw. verwendet der 
ablauffahige Code die von den Programmeinheiten 
'20 bereitgestellten Schni ttstellen, z.B. Funktionsauf ruf e oder 
Methodenauf ruf e . 

Auch ist es eine Weiterbildung, daft ein Einzelprozeft gestort 
wird, falls eine der folgenden Bedingungen erfullt ist: 



a) Der Einzelprozeft wird durch einen anderen Einzelprozeft 
blockiert. Im Fall der Blockierung wollen zwei 
Einzelprozesse eine physikalische Ressource in 
unterschiedlicher Weise nutzen. In so einem Fall kommt es 



Einzelprozessen gleichzeitig entsprechen kann. 

b) Der Einzelprozeft erreicht einen unerlaubten oder einen 

den Abiauf des Gesamtsystems gefahrdenden Zustand. Es ist 



25 



30 



zur Blockierung, da die Ressource nicht beiden 



35 



eine wesentliche Anforderung an eine sicherheitskritische 
Anwendung, daft keine gefahrdenden Zustande eingenommen 
werden . 
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Auch wird im Rahmen der Erfindung eine Anordnung zur 
Steuerung eines Gesamtprozesses angegeben, welcher 
Gesamtprozefi mehrere Einzelprozesse umfafit, wobei eine 
5 Prozessoreinheit vorgesehen ist, die derart eingerichtet ist, 
daft Funktionalitaten der Einzelprozesse identi f i zierbar sind. 
Ferner ist eine Validierung durchf uhrbar , indem ein 
Zusammenspiei der Funktionalitaten gemafi einer Vorgabe fur 
den Gesamtprozeft automat isch dahingehend verifiziert wird, 
10 daft jeder Einzelpro zefi wahrend des Ablaufs nicht behindert 
wird. Schlieftlich sind die Daten, die aus dem Ergebnis der 
Validierung resultieren, fur die Steuerung des 
Gesamtprozesses einsetzbar. 



15 Diese Anordnung ist insbesondere geeignet zur Durchfuhrung 

des erf indungsgemaften Verfahrens oder einer seiner vorstehend 
erlauterten Weiterbildungen. 

Weiterbildungen der Erfindung ergeben sich auch aus den 
20 abhangigen Anspruchen. 

Ausfuhrungsbeispiele der Erfindung werden nachfolgend anhand 
der Zeichnung dargestellt und erlautert. 

25 Es zeigen 



Fig.l einen Revol ver-Kopf eines Bestuckungsautoitiaten; 

Fig.2 Schritte eines Verfahrens zur Generierung einer 
30 Steuerung eines Gesamtprozesses; 

Fig. 3 einen Zus tandautomaten, der das Sys temverhalten der 
"scan"-Operation darstellt; 

35 Fig. 4 einen Zustandsautomaten, der das spezifische 
Systemverhalten des Scan-Tests darstellt; 



• 
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5 

Fig. 5 einen Zustandsautomaten, der eine sequentielle 
Abarbeitung des Vacuum-Tests und des Scan-Tests 
darstellt ; 

Fig. 6 zwei Zustandsautomaten, die eine parallele 

Abarbeitung des Vacuum-Tests und des Scan-Tests 
darsteilen; 

Fig. 7 mehrere Zustandsautomaten, die ein Systemverhal ten 
darsteilen; 

Fig. 8 einen Zustandsautomat, der ein spezifisches 
Systemverhalten darstellt; 

Fig. 9 zwei Zustandsautomaten, die jeweils spezifisches 

Systemverhalten fur den Vacuum-Test und den Scan-Test 
darsteilen; 

Fig. 10 einen Zustandsautomat fiir den Gesamtprozefl . 

Figur 1 zeigt einen Revolver kopf 101 eines Bestiickautomaten . 
Der Revolverkopf 101 nimmt Bauteile auf, und plaziert sie an 
einer vorgegebenen Zielposit ion . Der Revolverkopf enthalt 12 
Vakuumpipetten 102, die als Aufnahme und Plazierungswerkzeug 
dienen. 1st der Revolverkopf 101 liber langere Zeit im 
Einsatz, so treten Verschleifterscheinungen auf, die 
Vakuumpipetten verschmutzen und nutzen sich ab . Demzufolge 
1st es notwendig, periodische Tests durchzuf tihren, urn den 
Zustand der Vakuumpipetten 102 zu ermitteln und diese 
gegebenenf alls auszutauschen . Zwei verschiedene Tests werden 
von zwei unterschiedlichen C-Programmen durchgef iihrt . Ein 
Vakuumtest 103 dient zur Fes tstellung, ob die jeweilige 
Vakuumpipette 102 noch den vorgesehenen Unterdruck erzeugen 
kann, ein Scan-Test 104 zeigt auf, inwieweit die einzelne 
Vakuumpipette 102 physikalischen Ver schleifterscheinungen 
unterliegt und ob sie ausgetauscht werden mufl . Fur die 
nachf olgenden Betrachtungen greifen der Scan-Test 104 und der 




WO 00/02107 PCT/DE99/01915 

6 

Vakuum-Test 103 auf ein und dieselbe Ressource zu: Das Drehen 
des Revolverkopf es 101. 

Nachfolgend wird dargelegt, wie eine Steuerung eines 
5 Gesamtprozesses bestimmt wird, wobei Konf 1 i kt f r eiheit 

garantiert wird und eine zeitgleiche Ausfiihrung von Vakuum- 
Test 103 und Scan-Test 104 moglich ist, ohne daft der 
Gesamtprozefi unvorhergesehene Zustande einnehmen kann. Dazu 
sind die Funktionsauf ruf e der obengenannten C-Programme zu 
10 koordinieren . 



Figur 2 zeigt Schritte eines Verfahrens zur Generierung einer 
Steuerung eines Gesamtprozesses. 



15 In einem Schritt 201 werden Funkt ionalitaten der 

Einzelprozesse identif iziert (Strukturierung) . Weiterhin 
werden kontrollierbare und unkontrollierbare Ereignisse 
identif iziert . Kontrollierbare Ereignisse sind Ereignisse, 
die durch die Steuerung vermieden werden konnen . 

'20 ' Unkontrollierbare Ereignisse sind Ereignisse, die nicht 

vermieden werden konnen, z.B. Ausgangswerte von Sensoren oder 
Ergebnisse von Aktionen. Ferner werden Sequenzen von 
Ereignissen identif iziert , die ein mogliches physikalisches 
Systemverhalten darstellen. Auch werden Sequenzen von 

25 Ereignissen identif iziert , die ein spezifisches 

Systemverhalten (auf gabenbezogenes Systemverhalten) unter dem 
Einflufl der Steuerung darstellen. 

Der Schritt der Strukturierung 201 umfaJit ferner die 
30 Darstellung eines Zustandsautomaten, wie in Figur 3 fur das 
"Scan-Verhalten" dargestellt ist. 

Von einem Ini tialzus tand 301 aus uberfuhrt ein "scan"- 
Kommando den Automaten in einen Zustand 302, in dem die 
35 Vakuumpipette 102 auf Verschleifi untersucht wird. Ist das 
"Scannen" abgeschlossen, so wird in den Zustand 301 
zuruckgekehrt . Ebenso wird bei Auftreten eines Fehlers von 
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dem Zustand 302 in den - Zustand 301 zuruckgekehrt {Fehler: 
Vorgang des Scannens zeigt an, daft die Vakuumpipette 102 
ausgewechselt werden muli) . Ein "Recover "-Kommando uberfuhrt 
den Zustand 301 in einen Zustand 303, in dem zu 
5 Startbedingungen zuruckgekehrt wird (Recovering) . 1st der 
Vorgang "Recovering" beendet, so wird in den Zustand 301 
("done recover") zuriickgesprungen . 

Auch das spezifische Systemverhalten wird in Form eines 
10 Automaten dargestellt. In Figur 4 ist hierzu ein Automat 
dargestellt, der dem spezifischen Systemverhalten fur die 
Koordination der Ereignisse "turn", "done turn", "error 
turn", "scan", "done scan", "error scan", "counter" 
entspricht . 



Figur 4 zeigt einen Zus tandsautomaten, der das spezifische 
Systemverhalten des Scan-Tests 104 darstellt. Ein 
Initialzustand 401 wird durch ein "Turn" -Kommando in einen 
Zustand 402 uberfiihrt. Ist die Drehung des Revolverkopf es 101 

20 beendet, so erfolgt ein Ubergang von Zustand 4 02 in einen 
Zustand 403. Tritt bei der Drehung ein Fehler auf ("error 
turn"), so gent der Zustand 402 in einen Zustand 407 iiber. 
Von dem Zustand 4 03 wird durch das " scan" -Kommando ein 
Ubergang in einen Zustand 404 angestoften, bei abgeschlossenem 

25 Scan-Test 104 erfolgt ein Ubergang von dem Zustand 404 in 
einen Zustand 405. Die Erhohung eines Zahlers (counter) 
uberfuhrt den Zustand 405 in einen Zustand 406. Nun wird 
iiberpruft, ob der Zahler einen Wert 12 bereits erreicht hat. 
Ist dies der Fall, so wird der Zustand 406 in den Zustand 407 

30 uberfuhrt, weist der Zahler einen kleineren Wert als 12 auf, 
so geht der Zustand 406 in den Zustand 401 iiber. Verschiedene 
Kommandos stellen sicher, daft der Zustand 407 beibehalten 
wird: "recover", "done recover", "operator input", "stop". 
Ein "repeat "-Kommando veranlaftt eine Wiederholung des 

35 Vorgangs, indem der Zustand 407 in den Zustand 401 
ubergefuhrt wird. 



15 
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Ein nachster Schritt 202 in Figur 2 stellt eine Validierung 
der Steuerung des Gesamtprozesses sicher, indem automatisch 
Eigenschaf ten des Gesamtprozesses verifiziert werden. Solche 
Eigenschaf ten sind insbesondere eine Blockierungs- bzw. 
Nichtblockierungseigenschaf t und eine 

Kontrollierbarkeitseigenschaf t . Arbeiten verschiedene 
Einzeiprozesse parallel nebeneinander und teilen diese 
Einzelprozesse sich eine oder mehrere Ressourcen (hier das 
Drehen des Revol verkopf es 101), so ist Blockierungs freiheit 
gewahrleistet, falls die Einzelprozesse ihre Aufgaben bis zu 
Ende durchfiihren konnen, ohne sich gegenseitig durch den 
Zugriff auf gemeinsame Ressourcen zu behindern. In dem 
dargestellten Aus f iihrungsbeispiel benutzen der Einzelprozeft 
Scan-Test 104 und der Einzelprozeft Vakuum-Test 103 gemeinsam 
15 die Ressource "Drehen des Revolverkopf s 101". Dies konnte zu 
einer gegenseitigen Blockierung fiihren, falls die Steuerung 
des Gesamtprozesses dieses nicht praventiv verhindert . 



10 



20 



Weiterhin erfolgt die Validierung 202, indem eine 
Plausibilitatsuberprufung der Struktur ierung 201 des zu 
steuernden Gesamtprozesses durch Beobachtung oder Simulation 
des Systems und des spezifischen Systemverhal tens in Form 
eines Zus tandsautomaten erfolgt. SchlieMich wird automatisch 
die Verifikation vorgegebener Eigenschaf ten durchgef Uhrt . 
25 Eine dieser Eigenschaf ten ist 

"nachdem ein Fehler im Scan-Test 104 aufgetreten ist 
(das Ereignis "error scan" wurde angezeigt) setzt stets 
die "recovery"-Operation (das Ereignis "recover "}" ein" . 

30 Die Validierung 202 fiihrt, falls diese nicht vollstandig 

erfolgt und die den ungestorten Ablauf der Einzelprozessen 
formal verifiziert, wiederholt, indem zu dem Schritt 201, der 
Strukturierung der Funkt ionali taten der Einzelprozesse, 
zuruckverzweigt wird. Ist die Validierung 202 erfolgreich, so 

35 wird automatisch Code fur die Steuerung des Gesamtprozesses 
generiert (vgl. Obergang zu Schritt 203 in Figur 2). 



'V 
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Dabei werden bei der automatischen Generierung der Steuerung 
des Gesamtprozesses insbesondere kontrollierbare Ereignisse 
den verknupften Funkt ionsauf ruf en innerhalb der 
Einzelprozesse und damit den zugehorigen Programmcode- 
Fragraenten zugeordnet. Die Zuordnung von unkontrollierbaren 
Ereignissen werden entsprechenden Ruckgabewerten von 
Funktionsauf ruf en oder Ausgabewerten von Sensor'en zugeordnet. 
Ein Beispiel stellt der Funkt ionsauf ruf des Ereignisses 
"scan" dar, der sich auf die entsprechende Programmcode- 
Fragment (C-Programm Routine "Scan-Test") bezieht, die als 
Ruckgabewerte "scan error" oder "scan done" umfafit. 

Die automat ische Generierung des C-Codes fur die Steuerung 
des Gesamtprozesses wird aus verschiedenen Zustandsautoraaten, 
Zuordnungen und/oder Programmcode-Fragmenten ermittelt. Die 
einzelnen im Schritt 201 strukturierten Funktionalitaten 
entsprechen dabei den entsprechenden Zustandsautoraaten bzw. 
Programmcode-Fragmenten . 

Wie "bereits erwahnt, erfolgt eine parallelisierte 
Durchf uhrung des Vakuum-Tes ts 103 und des Scan-Tests 104, 
wobei jeder Test an verschiedenen physikalischen Orten 
ausgefiihrt wird (vgl. Figur 1 gegenuber liegende Durchfiihrung 
der beiden Tests) . 

Figur 5 und Figur 6 zeigen das gewunschte Verhalten der 
Einzelprozesse fiir den Vakuum-Test 103 und den Scann-Test 
104, wobei in Figur 5 eine sequentielle Abarbeitung beider 
Tests und in Figur 6 eine parallele Abarbeitung beider Tests 
dargestellt ist. Bei der parallelen Abarbeitung in Figur 6 
kann eine Blockierung der beiden Einzelprozesse dadurch 
eintreten, daft nach dem Ereignis "recovery vacuum" eines der 
beiden Ereignisse "turn" oder "counter" nicht eintreten wird. 
Dadurch ist ein von beiden parallel ablaufenden 
Einzelprozessen benotigtes Drehen ( "turn"-Kommando) des 
Zylinderkopf es nicht gewahrleistet . Wahrend der eine Automat 
den Zylinderkopf drehen will, will der andere Automat den 
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Zahler hochsetzen, es kommt demnach zu einer Blockierung. 
Eine sequentielle Abarbeitung, wie in Figur 5 gezeigt, 1st 



Vakuumpipetten 102 durchgef uhrt werden und somit der 
Zylinderkopf 101 zweimal vollstandig gedreht werden muft . Der 
Zeitaufwand fiir die sequentielle Abarbeitung ist ungleich 
grofier als fiir eine (nahezu) paralleie Abarbeitung. 

In Anlehnung an Figur 4 sind Figur 5 bis Figur 10 analog aus 
sich heraus verstandlich . So umfaftt die Figur 5 die Zustande 
501 bis 517, Figur 6 die Zustande 601 bis 618, wobei die 
Zustande 501 bis 509 und 509 bis 517 die jeweils 
eigenstandigen, parallel ablaufbaren Automaten gemafl Figur 6, 
kennzeichnen. Das Ereignis, das jeweils ausschiaggebend fur 
den Ubergang eines Zustandes in einen anderen ist, ist in den 
Figuren jeweils entlang der Ubergangspf eile angezeigt. 

Ereignisse mit gleichem Namen treten in Automaten, in denen 
da-s jeweilige Ereignis definiert ist, synchron auf. Im 
vorliegenden Aus f uhrungsbeispiel tritt das Ereignis "Scan" 
auf, falls der Zustandsautomat des Sys temverhal tens (vgl. 
Figur 7) sich im Zustand "0" befindet, bzw. sich der 
Zustandsautomat des spezifischen Systemverhaltens gemafl Figur 

8 in dem Zustand 0 oder im Zustand 1 befindet und falls der 
Zustandsautomat des spezifischen Systemverhaltens gemaft Figur 

9 sich im Zustand 2 befindet. 

Kontrollierbare Ereignisse sind: 

"turn", "scan", "vacuum", "recover", "recovery turn", 
"recovery scan", "recovery vacuum", "counter", "operator 
input", "reset" . 

Unkontrollierbare Ereignisse sind: 

"done turn", "error turn", "done scan", "error scan", 
"done vacuum", "error vacuum", "done recover", 
"counter=12?", "counter<12? " , "stop", "repeat" . 
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Der jeweilige Zustandsautomat " zeigt an, in welcherrv Zustand 
das korrespondierende Systemverhal ten beendet sein kann, d.h. 
der Zustand, der schwarz hinterlegt ist, definiert eine 
Terminierungsbedingung . 

Figur 7 zeigt das Systemverhal ten an. Wie oben bereits 
erwahnt, zeigt das Systemverhal ten Sequenzen von Ereignissen, 
die physikalisch mdgliche Systemzustande reprasentieren. 
Derartige physikalisch mogliche Verhalten sind das Drehen des 
Zylinderkopf es, das Durchfuhren des Vakuum-Tests, das 
Durchfiihren des Scann-Tests, das Erhohen und Abfragen des 
Zahlers und die Eingabe eines Kommandos, das eine vorgegebene 
Aktion auslost- Der Zustand 0 in Figur 7 kennzeichnet sowohl 
den Initial- als auch den Endzustand des jeweiligen 
Systemverhaitens . 

Nach der Identif ikation des Systemverhaitens wird das 
spezifische Systemverhalten ermittelt, das sich auf ein 
Verhalten des Gesamtprozesses im Hinblick auf die zu 
steuernde Aufgabe bezieht. Fur das spezifische 
Systemverhalten der Fehlerbehandlung ("error recovery") ist 
der zugehorige Zustandsautomat in Figur 8 dargestellt. In 
Figur 8 gibt es zwei markierte Zustande 801 und 807, wobei 
der Zustand 801 gleichzeitig Anfangs- und ein Endzustand des 
Zustandsautomaten ist. In den Zustanden 801 und 807 kann 
jeweils das spezifische Systemverhalten "Fehlerbehandlung" 
beendet werden. 

Gemaft den obigen Ausf uhrungen, erfolgt nun die Validierung. 
Dazu sind gemafl Figur 2 (vgl. Obergang von Validierung 202 
zur Strukturierung 201: Iteration) mehrere Durchgange 
gezeigt, die schliefilich zu der Losung gemaft Figur 7 bis 
Figur 9 fuhren. 
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Die Figuren 8 und 9 zeigen das gesteuerte spezifische 
Systemverhalten entsprechend der vorgegebenen Funkt ionalitat 
des Gesamtprozesses. Dazu sind drei Aufgaben ident i f i ziert 
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worden, die parallel ausgefuhrt werden: Fehlerbehandlung, 
Scann-Test und Vakuum-Test. Insbesondere die Fehlerbehandlung 
wird nur dann aktiviert, wenn sowohl der Scan-Test 104 als 
auch der Vakuum-Test 103 in einem markierten Zustand (vgl. 
Zustand 6 bzw. Zustande 907, 917 in Figur 9) . Der Scan-Test 
104 und der Vakuum-Test 103 werden nur aktiviert, falls die 
Fehlerbehandlung in dem Initial zustand (vgl. Eustand 0 bzw. 
801 in Figur 8) ist. 

Das Systemverhalten und das spezifische Systemverhalten gemaft 
den Figuren 7-9 sind blockierungsf rei . Weiterhin ist das 
spezifische Systemverhalten gemafl Figuren 8 und 9 
kontrollierbar in Bezug auf das Systemverhalten aus Figur 7. 

In Figur 10 wird der GesamtprozeJS aus den Automaten 
entsprechend den Figuren 7-9 zusammengesetzt . Figur 10 stellt 
den Produkt automaten der beschriebenen Automaten dar und ist 
aus sich heraus verstandlich . Insbesondere wird der 
Produktautomat gemaft Figur 10 nicht zur Strukturierung und 
Losung der Steuerungsaufgabe fur den GesamtprozeG verwendet, 
da die iiber sichtliche Vorgehensweise, wie geschildert, einen 
strukturierten und uberschaubaren Ansatz zur Bestimmung der 
Daten, die fur die Steuerung des Gesamtprozesses notwendig 
sind, gewahrleistet . 

Eine automat ische Generierung des ablauf f ahigen Programmcodes 
zur Steuerung des Gesamtprozesses wird durchgef uhrt , indem 
zuerst Funktionsauf rufe den kontrollierbaren Ereignissen 
zugewiesen werden, wobei den Ruckgabewerten der 
Funktionsauf rufe oder Ausgabewerte von Sensoren den 
entsprechenden unkontrollierbaren Ereignissen zugewiesen 
werden. Der Programmcode fur die Steuerung des 
Gesamtprozesses wird generiert aus den Automatenzuweisungen 
und zugehorigen Programmcode-Fragmenten . 
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Patentanspruche 

1. Verfahren zum Entwurf einer Steuerung fur einen 
Gesamtprozeli, der mehrere Einzelprozesse umfaflt, 

a) bei dem Funktionalitaten der Einzelprozesse 
identif iziert werden, 

b) bei dem eine Validierung durchgefuhrt wird, indem ein 
Zusammenspiel der Funktionalitaten gemafl einer Vorgabe 
fur den GesamtprozeJi automatisch dahingehend 
verifiziert wird, daft jeder Einzelprozefi wahrend des 
Ablaufs nicht behindert wird, 

c) bei dem aus einem Ergebnis der Validierung Daten fur 
die Steuerung des Gesamtprozesses ermittelt werden. 

2. Verfahren nach Anspruch 1, 

bei dem zusatzlich zu Schritt lc) eine Ablauf optimierung 
durchgefuhrt wird. 

3. Verfahren nach Anspruch 1 oder 2, 

bei dem die Daten fiir die Steuerung in Form eines 
ablauf fahigen Codes ermittelt werden. 

4. Verfahren nach einem der Anspruche 1 bis 3, 

bei dem eine der Funktionalitaten der Einzelprozesse eine 
Sof twareeinheit zur Steuerung des betroffenen 
Einzelprozesses ist. 

5. Verfahren nach einem der vorhergehenden Anspruche, 

bei dem ein Einzelprozeft behindert wird, falls eine der 
folgenden Bedingungen erfullt ist: 

a) der Einzelprozeft wird durch einen anderen Einzelprozeft 
blockiert ; 

b) der Einzelprozefi erreicht einen unerlaubten oder einen 



den Ablauf des Gesamtsysteras gefahrdenden Zustand. 
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Verfahren nach einem der vorhergehenden Anspruche, 
bei dem eine Steuerung fur Einzelprozesse eines 
Bestiickautomaten entworfen wird. 

Verfahren nach einem cier vorhergehenden Anspruche, 
bei dem die fur die Steuerung des Gesamtprozesses 
ermittelten Daten zur Steuerung einer technischen Anlage 
eingesetzt werden. 

Anordnung zum Entwurf einer Steuerung fur einen 

Gesamtprozeft, der mehrere Einzelprozesse umfafit, 

mit einer Prozessoreinheit , die derart eingerichtet ist, 

dafi 

a) Funktionalitaten der Einzelprozesse identif izierbar 
sind; 



b) eine Validierung durchfuhrbar ist, indent ein 
Zusammen spiel der Funktionalitaten gemaft einer Vorgabe 
fur den Gesamtprozefi automatisch dahingehend 
verifiziert wird, daft jeder Einzelprozeli wahrend des 
Ablaufs nicht behindert wird; 

c) aus einem Ergebnis der Validierung Daten fur die 
Steuerung des Gesamtprozesses einsetzbar sind. 
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FIG 8 Specified behaviour (error recovry) 



turn, done turn 
vacuum, done vacuum 
scan, done scan 
counter 



turn, done turn vacuum, 
done vacuum, error vacuum, 
scan, done scan, error scan 
error turn, counter 
error vacuum, 
error scan { \ recover 

< OKsoa 

done 
recover 





THIS PAGE BLANK (uspto) 



WO 00/02107 



PCT/DE99/01915 



8/1 1 




HIS PAGE BLANK (uspto) 



WO 00/02107 



PCT/DE99/0191S 



9/11 





THIS PAGE BLANK (uspto) 



THIS PAGE BLANK (uspto) 



WO 00/02107 PCT/DE99/0191S 



GO 



11/11 



CD 



CO 



o 

C_3 



C-3 CJ> 

ca ca 

c= p 

o t= 

-O CD 



ca ca 

<-> C_3 
GO GO 



ca ca 




THIS PAGE BLANKS 




DPT WELTORGANISATION FUR GEISTIGES EIGENTUK 

A V-/ JL Internationales Biiro 

INTERNATIONALE ANMELDUNG VEROFFENTLICHT NACH DEM VERTRAG OBER DIE 

INTERNATIONALE ZUSAMMEN ARBEIT AUF DEM GEBIET DES PATENTWESENS (PCT) 



(51) Internationale Patentklassifikation 7 : 
G05B 19/418, 19/05, 19/042 



A3 



(11) Internationale Veroffentlichungsnummer: WO 00/02107 

13. Januar 2000 (13.01.00) 



(43) Internationales 

Veroffentlichungsdatum: 



(21) Internationales Aktenzeichen: 

(22) Internationales Anmeldedatum: 



PCT/DE99/01915 
1. Juli 1999 (01.07.99) 



(30) Prioritatsdaten: 

198 29 804.8 



3. Juli 1998 (03.07.98) 



DE 



(71) Anmelder (fur alle Bestimmungsstaaien ausser US): SIEMENS 

AKTTENGESELLSCHAFT [DE/DE]; Wittelsbacherplatz 2, 
D-80333 Munchen (DE). 

(72) Erfinder; und 

(75) Erfinder/Anmelder (nurfur US)z BRANDIN, Berth" [SE/DE]; 
Baumstrasse 1 1 , D-80469 Munchen (DE). KALTENB ACH, 
Markus [DE/DE]; Konradsirasse I OA, D-80801 MUnchen 
(DE). 

(74) Gemeinsamer Vertreter: SIEMENS AKTIENGE- 

SELLSCHAFT; Postfach 22 16 34, D-80506 Munchen 
(DE). 



(81) Bestimmungsstaaten: CN, JP, KR, SG, US, europaisches 
Patent (AT, BE, CH, CY, DE, DK, ES, FI, FR, GB, GR, 
IE, IT, LU, MC, NL, FT, SE). 



Veroffentlicht 

Mit internationalem Recherchenbericht. 

(88) Veroffentlichungsdatum des internationalen Recherchenbe- 
richts: 30. Marz 2000 (30.03.00) 



201 



Problem 
structuring 



(54) Ti je: METHOD AND DEVICE FOR DESIGNING THE CONTROL OF AN OVERALL PR OCESS 

(54) Bezcichnung: VERFAHREN UND ANORDNUNG ZUM ENTWURF EINER STEUERUNG FUR EINEN GESAMTPROZESS 

(57) Abstract 

The aim of the invention is to pre- 
vent blockages between competing individ- 
ual processes that are part of an overall 
process. To this end, functionalities of the 
individual processes are identified and a 
validation of the interplay of these func- 
tionalities is carried out. The data obtained 
from the validation can then be used for 

controlling the overall process. I NOT OK 

(57) Zusammenfassung 

Urn Blockierungen zwischen 
konkurrierenden Einzelprozessen 
innerhalb eines Gesamtprozesses zu 
verhindem, werden Funktionalitaten 
der Einzelprozesse identifiziert und eine 
Validierung des Zusammenspiels dieser 
Funktionalitaten durchgefuhrt. Die aus 
der Validierung erhaltenen Daten sind 
fur eine Steuerung des Gesamtprozesses 
einsetzbar. 
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Description 

Method and arrangement for designing the control of a 
complete process 

The invention relates to a method and an 
arrangement for designing the control of a complete 
process which comprises a number of individual 
processes . 

The control of a complex technical installation 
or, respectively, of a system (complete process) 
comprises a number of smaller control units which are 
provided for certain parts {individual processes) of 
the installation or, respectively, of the system. A 
first control unit for a first individual process is 
restricted in this case to this individual process. The 
same applies to a second control for a second 
individual process. Even if an interplay of the first 
control with the second control functions largely 
without errors, this does not guarantee that an error- 
free operation of the complete installation is still 
guaranteed with a slight modification of the first or 
of the second individual process. Thus, a small change 
in a process or the addition of a third process can 
lead to conflicts and blocking between the processes 
which can only be empirically verified. In this 
context, it is possible that a faulty state of the 
complete process overcomes an empirical test and thus 
remains undetected. This is not acceptable especially 
with regard to a critical installation with respect to 
safety since it must be guaranteed in every case that 
no unpredicted event occurs in the interplay of the 
processes . 

Apart from the unauthorized states to be 
avoided, there are in the sequence of a process so- 
called authorized states which should occur exclusively 
for the process if it is functioning correctly. 
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It is the object of the invention to specify a 
method and an arrangement for designing the control of 
a complete process in which it is (formally) ensured 
that there is no impediment to the individual processes 
5 and only authorized states are occupied. 

This object is achieved in accordance with the 
features of the independent claims. 

Within the context of the invention, a method 
for designing the control of a complete process which 
10 comprises a number of individual processes is 
specified. In the method, functionalities of the 
individual processes are identified. Furthermore, a 
validation is performed by automatically verifying an 
interplay of the functionalities in accordance with an 
.--J 15 input to the complete process, to the effect that each 

SP individual process is not disturbed during the 

operation. From the result of the validation, data for 
controlling the complete process are determined. 

An advantage of the method consists in that it 
j=S 20 is ensured in the step of validation that each 

' individual process can run undisturbed. A further 

; s j advantage consists in the automatic generation of data 

j«* for controlling the complete process. Thus, data for 

Ly controlling the complete process are systematically 

[* J 25 generated with the aid of the method. 

An embodiment consists in that a sequence 
optimization is- performed after the validation. Thus, 
it is certainly an advantage that individual processes 
can run undisturbed and another advantage consists in 
30 that the several individual processes run time- 
optimized if possible. It is the aim of the sequence 
optimization to carry out the performance of 
predetermined actions of the several individual 
processes in parallel and in the shortest possible time 
35 without disturbances. 
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A further development consists in that the data 
for controlling the complete process are determined - in 
the form of an executable code. This ensures that the 
result of the validation and possibly of the sequence 
optimization flows completely automatically into the 
control of the complete process. For example, a program 
code written in the programming language C or the 
programming language C++ is generated which initiates 
or ensures the control of the complete process. 

In particular, the advantage becomes noticeable 
in the generation of executable code if functionalities 
of the individual processes are also provided in the 
form of respective program units. If a number of 
functionalities of a number of individual processes in 
each correspond to at least one program unit, the data 
which were generated in the form of executable codes 
are used for controlling the coordination of the 
individual program units or, respectively, the 
executable code uses the interfaces, e.g. function 
calls or method calls, provided by the program units. 

It is also a further development that an 
individual process is disturbed if one of the following 
conditions is met : 

a) The individual process is blocked by another 
individual process. In the case of the blocking, 
two individual processes wish to use one physical 
resource in ' different ways. In such a case, 
blocking occurs since the resource cannot meet the 
requirements of both individual processes at the 
same time. 

b) The individual process reaches an unauthorized 
state or a state endangering the operation of the 
complete system. It is an essential requirement 
for a critical application with respect to safety 
that no hazardous states are assumed. 
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In the context of the invention, an arrangement 

f or . controlling a complete- process- is also speci-fied, 

which complete process comprises a number of individual 
processes, a processor unit being provided which is set 
5 up in such a manner that functionalities of the 
individual processes can be identified. Furthermore, a 
validation can be performed by automatically verifying 
an interplay of the functionalities in accordance with 
an input to the complete process to the effect that 
10 each individual process is not impeded during the 
operation. Finally, the data resulting from the result 
of the validation can be used for controlling the 
complete process. 

This arrangement is suitable, in particular, 
Q 15 for carrying out the method according to the invention 

or one of its further developments explained above. 
l«y Further developments of the invention are also 

M= obtained from the dependent claims. 

!"! In the text which follows, exemplary 

; =5 20 embodiments of the invention are shown and explained 

* with reference to the drawing, in which: 

H Fig. 1 -shows a turret head of an automatic placement 

machine ; 

UU Fig. 2 shows steps of a method for generating the 

25 control of a complete process ; 

Fig. 3 shows a state machine which represents the 

system behavior of the "scan" operation; 
Fig. 4 shows a state machine which represents the 
specific system behavior of the scan test; 

30 



» 
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Fig. 5 shows a state machine which represents a 

sequent ia-1- processing of the vacuum test and of 

the scan test; 

Fig. 6 shows two state machines which represent a 
5 parallel processing of the vacuum test and of 

the scan test; 

Fig. 7 shows a number of state machines which 

represent a system behavior; 
Fig. 8 shows a state machine which represents a 
10 specific system behavior; 

Fig. 9 shows two \tate machines which in each case 
represent specific system behavior for the 
vacuum test ami the scan test; 
Fig. 10 shows a state machine for the complete process. 
15 Figure 1 shows a turret head 101 of an 

automatic placement machine. The turret head 101 
accepts components arid places them at a predetermined 
target position. The turret head contains 12 vacuum 
pipettes 102 which are used as receptacle and placement 
20 tool. If the turret head 101 is used for a prolonged 
period, wear occurs, the vacuum pipettes become dirty 
and worn. Accordingly, it is necessary to perform 
periodic tests in order to determine the state of the 
vacuum pipettes 102 and to exchange them, if necessary. 
25 Two different tests are performed by two different C 
programs. A vacuum test 103 is used for finding out 
whether the respective vacuum pipette 102 can still 
generate the intended vacuum; a scan test 104 indicates 
the extent to which the individual vacuum pipette 102 
30 is subject to physical wear and whether it needs to be 
exchanged. For the subsequent observations, the scan 
test 104 and the 
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vacuum test 103 access one and the same resource: the 

-rotation of the- -turret -he ad- 1-0-1-.- — — 

The text which follows explains how the control 
of a complete process is determined, guaranteeing 
freedom from conflict and providing for the execution 
of vacuum test 103 and scan test 104 at the same time 
without the complete process being able to assume 
unpredicted states. For this purpose, the function 
calls of the abovementioned C programs must be 
coordinated. 

Figure 2 shows steps of a method for generating 
the control of a complete process. 

In a step 201, functionalities of the 
individual processes are identified (structuring) . 
Furthermore, controllable and uncontrollable events are 
identified. Controllable events are events which can be 
avoided by the control. Uncontrollable events are 
events which cannot be avoided, e.g. output values of 
sensors or results of actions. Furthermore, sequences 
of events are identified which represent a possible 
physical system behavior. In addition, sequences of 
events are identified which represent a specific system 
behavior (task-related system behavior) under the 
influence of the control. 

The step of structuring 201 also comprises the 
representation of a state machine as shown in figure 3 
for the "scan behavior". 

From an initial state 301, a "scan" command 
places the machine into a state 302 in which the vacuum 
pipette 102 is examined for wear.. If the "scanning" is 
concluded, the machine returns to state 301. Similarly, 
the machine returns to 
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state 301 from state 302 when an error occurs (error: 
-the process of scanning — -indicates that -the — vacuum- 
pipette 102 must be replaced) . A "recover" command 
changes state 301 to a state 303 in which the machine 
returns to the starting conditions (recovering) . If the 
"recovering" process is ended, the machine jumps back 
into state 301 ("done recover") . 

The specific system behavior is also shown in 
the form of a state machine. For this purpose, figure 4 
shows a state machine which corresponds to the specific 
system behavior for the coordination of the events 
"turn", "done turn", "error turn", "scan", "done scan", 
"error scan", "counter". 

Figure 4 shows a state machine which represents 
the specific system behavior of the scan test 104. An 
initial state 401 is changed to a state 402 by a "turn" 
command. If the turning of the turret head 101 is 
ended, the machine changes from state 402 to a state 
403. If an error occurs during the turn ("error turn"), 
state 402 changes to a state 407. From state 403, the 
"scan" command initiates a change to a state 404; when 
the . scan test 104 is concluded, the machine changes 
from state 404 to a state 405. Incrementing a counter 
changes state 405 to a state 406. A check is then made 
to determine whether the counter has already reached a 
value 12. If this is so, state 406 is changed to state 
407; if the counter exhibits a smaller value than 12, 
state 406 changes to state 401. Various commands ensure 
that state 407 is kept: "recover", "done recover", 
"operator input", "stop". A "repeat" command causes the 
process to be repeated in that state 407 is changed to 
state 401. 
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A next step 202 in figure 2 ensures a 
validat ion- ~of- the control- -of — the -complete process "by 
automatically verifying characteristics of the complete 
process. Such characteristics are, in particular, a 
blocking or non-blocking characteristic and a 
controllability characteristic. If various individual 
processes are operating in parallel with one another 
and if these individual processes share one or more 
resources (in this case the turning of the turret head 
101), freedom from blocking is ensured if the 
individual processes can perform their tasks right to 
the end without impeding each other by accessing common 
resources. In the exemplary embodiment shown, the 
individual process scan test 104 and the individual 
process vacuum test 103 jointly use the resource 
"turning of the turret head 101". This could lead to 
mutual blocking if the control of the complete process 
does not prevent this preventat ively . 

Furthermore, the validation 202 is carried out 
in that a plausibility check of the structuring 201 of 
the complete process to be controlled is effected by 
observation or simulation of the system and of the 
specific system behavior in the form of a state 
machine. Finally, predetermined characteristics are 
automatically verified. One of these characteristics is 
"after an error has occurred in scan test 104 (the 
event "error scan" was indicated) , the "recovery" 
operation (the event "recover") always starts". 

The validation 202, if it is not done 
completely and which formally verifies the undisturbed 
sequence of the individual processes, is repeated by 
branching back to step 201, the structuring of the 
functionalities of the individual processes. If the 
validation 202 is successful, code for controlling the 
complete process is automatically generated (compare 
change to step 203 in figure 2) . 
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During this process, during the automatic 
generation of the control of the complete -process, 
controllable events are allocated, in particular, to 
the linked function calls within the individual 
processes and thus to the associated program code 
fragments. Uncontrollable events are allocated to 
corresponding return values of function calls or output 
values of sensors. An example is represented by the 
function call of the event "scan" which relates to the 
corresponding program code fragment (C program routine 
"scan test") which comprises "scan error" or "scan 
done" as return values. 

The automatic generation of the C code for 
controlling the complete process is determined from 
various state machines, allocations and/or program code 
fragments. The individual functionalities structured in 
step 201 correspond in this case to the corresponding 
state machines or, respectively, program code 
fragments. 

As already mentioned, the vacuum test 103 and 
the scan test 104 are carried out in parallel, each 
test being performed at different physical locations 

(compare figure 1, oppositely located performance of 
the two tests ) . 

Figures 5 and 6 show the desired behavior of 
the individual processes for the vacuum test 103 and 
the scan test 104, figure 5 showing a sequential 
processing of the two tests and figure 6 showing a 
parallel processing of the two tests. In the parallel 
processing in figure 6, blocking of the two individual 
processes can occur due to the fact that after the 
event "recovery vacuum", one of the two events "turn" 
or "counter" will not occur. As a result, a turning 

("turn" command) of the cylinder head, which is needed 
by both individual processes running in parallel, is 
not guaranteed. Whereas one machine wants to turn the 
cylinder head, the other machine 
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wants to increment the counter, resulting in blocking. 

In contrast, sequential - processing as — indicated — in 

figure 5 is possible, the tests for 12 vacuum pipettes 
102 each being performed in succession and thus the 
cylinder head 101 having to be turned twice completely. 
The time expenditure for the sequential processing is 
far greater than for (almost) parallel processing. 

On the basis of figure 4, figure 5 to figure 10 
can be analogously understood per se . Thus, figure 5 
comprises states 501 to 517, figure 6 comprises states 
601 to 618, states 501 to 509 and 509 to 517 
characterizing the in each case independent machines 
according to figure 6 which can run in parallel. The 
event which is in each case decisive for a state 
changing to another one is in each case indicated along 
the transition arrows in the figures. 

Eve nts havi -a g th e samo nam e occu g — synohronou^ y- 
in machines in which the respective event is^-"CTef ined . 
In the present exemplary embodiment *J>ke** , e vent "scan" 
occurs if the state machine — "the system behavior 
(compare figure 7) is ip^-s'tate ."0" or, respectively, 

the state machine 6r the specific system behavior 

according t^o-^igure 8 is in state 0 or in state 1 and 
if tj^e"'"state machine of the specific system behavior 
4ggoc d-i-R g — to — figure — 9 is — io — state — 2-.__^V 
Controllable events are: 
"turn", "scan", "vacuum", "recover", "recovery 
turn", "recovery scan", "recovery vacuum", 
"counter", "operator input", "reset". 

Uncontrollable events are: 
"done turn", "error turn", "done scan", "error 
scan", "done vacuum", "error vacuum", "done 
recover", "counter=12?", "counter<12?", Vstop", 
"repeat" . 
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The respective state machine indicates the 
state in which the corresponding system behavior can be 
terminated, i.e. the state with a dark background 
defines a termination condition. 
5 Figure 7 shows the system behavior. As already 

mentioned above, the system behavior shows sequences of 
events which represent physically possible system 
states. Such physically possible behaviors are the 
turning of the cylinder head, the performance of the 
10 vacuum test, the performance of the scan test, the 
incrementing and interrogating of the counter and the 
inputting of a command which triggers a predetermined 
action. The state 0 in figure 7 characterizes both the 
initial state and the end state of the respective 
15 system behavior. 

-Af-Cei: — fc**e — oyotcm behavior — hers — been — id e ntified, 
the specific system behavior is determineo^^which 
relates to a behavior of the complete^prfocess with 
regard to the task to be controlJ^etJ? The associated 
20 state machine for the specifj^e^*system behavior of the 
error recovery is shown^arn*r igure 8. In figure 8, there 
are two marked ^^frg^&s 801 and 807, state 801 being 
simultaneou>3r^*^ the start and an end state of the state 
machijae - ; The specific system behavior "error recovery" 
2 5 <* a*nb e term - inatod in each eaoc in otatco 8 01 and Q Q^j^ 

A cc o r ding to Uae abo-v.e si-a-t-era^ti-t^s-, --the 

validation is then performed. To this end^. a number of 
iterations which, finally, _L&&& — "to the solution 
according to f igureJ7^--fecr^Tgure 9 are shown according 
30 to figure _^-fcr5mpare transition from validation 202 to 
.st-rtrcTnri nrj ?01 * — i terat i on) 

Figures — 8 — and -9 — ohow — fc-he — c ontrolled aj3c_gLL£ ±-e-- r 
system behavior correspondiiic[____ - to. — tiTS predetermined 
f unctional^ity^^-Xi^-- — CTTe complete process. For this 
35 pttrpboo, — throo tao ks h avo boon identified - 
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which — a*e — oxocutod — ifi — parallel ; — error — recovery, amh 
test and vacuum test. The error re^^fy, in 
particular, is only activated if both^fetre scan test 104 
and the vacuum test 103 [ la^c-mfa] in a marked state 
(compare state 6 or^te^pectively states 907, 917 in 
figure 9) . The^-et?an test 104 and the vacuum test 103 
are onj^y^activated if the error recovery is in the 
i- nrftTial otato — (compare state 0 or 8 01 in figur e 

The system behavior and the specific system 
behavior according to figures 7-9 are non-blocking. 
Furthermore, the specific system behavior according to 
figures 8 and 9 is controllable with respect to the 
system behavior from figure 7 . 

In figure 10, the complete process is assembled 
from the state machines according to figures 7-9. 
Figure 10 represents the product state machine of the 
state machines described and is comprehensible per se . 
In particular, the product state machine according to 
figure 10 is not used for structuring and solving the 
control task for the complete process since the easily 
traceable procedure, as described, guarantees a 
structured and clear approach to determining the data 
which are necessary for controlling the complete 
process. 

The executable program code for controlling the 
complete process is automatically generated in that 
first function calls are assigned to the controllable 
events, the return values of the function calls or 
output values of sensors being assigned the 
corresponding uncontrollable events. The program code 
for controlling the complete process is generated from 
the state machine assignments and associated program 
code fragments . 



* 
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